Audit @ AWS Bertram Dorn, AWS Solution Architecture 15.05.2015
© 2014 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified, or distributed in whole or in part without the express consent of Amazon.com, Inc.
Drei Wege • Detailed Billing • CloudTrail • Zertifikate und Prozesse
Und ein weiteres Werkzeug • CloudFormation
Detailed Billing
• Billing Informationen zeitnah in S3 • Über die Billing-Console einfach einsehbar • Billing-Alarme zur Sicherheit
Billing Console
Beispiel Eintrag UsageStart UsageEnd UsageQuan Currency CostBefo Date Date +ty Code reTax ItemDescrip+on $0.000 per GB -‐ regional data transfer under the 01.04.14 30.04.14 monthly global free +er 00:00 23:59 0.00000675 USD 0.00 $0.05 per GB-‐month of provisioned storage -‐ US West 01.04.14 30.04.14 1.126.666.5 (Oregon) 00:00 23:59 54 USD 0.56 First 1,000,000 Amazon SNS API Requests per month 01.04.14 30.04.14 are free 00:00 23:59 10.0 USD 0.00 First 1,000,000 Amazon SQS Requests per month are 01.04.14 30.04.14 free 00:00 23:59 4153.0 USD 0.00 $0.00 per GB -‐ EU (Ireland) data transfer from US West 01.04.14 30.04.14 (Northern California) 00:00 23:59 0.00003292 USD 0.00 $0.000 per GB -‐ data transfer out under the monthly 01.04.14 30.04.14 global free +er 00:00 23:59 0.02311019 USD 0.00 First 1,000,000 Amazon SNS API Requests per month 01.04.14 30.04.14 are free 00:00 23:59 88.0 USD 0.00 $0.000 per GB -‐ data transfer out under the monthly 01.04.14 30.04.14 global free +er 00:00 23:59 3.3E-‐7 USD 0.00
Cred TaxAm its ount 0.0000 0.0 00 0.0000 0.0 00 0.0000 0.0 00 0.0000 0.0 00 0.0000 0.0 00 0.0000 0.0 00 0.0000 0.0 00 0.0000 0.0 00
TaxT TotalCo ype st 0.00000 None 0 0.56000 None 0 0.00000 None 0 0.00000 None 0 0.00000 None 0 0.00000 None 0 0.00000 None 0 0.00000 None 0
CloudTrail • Empfängt Ereignisse aus den API • Gibt Auskuft welche API-Calls für welchen Account ausgelöst worden sind • Beinhaltet – Datum – Benutzer (incl Client und Authentication) – Dienst
• Legt Daten in S3 ab und löst Notification in SNS aus
CloudTrail Event { "eventVersion": "1.0",
"userIdentity": { "type": "AssumedRole", "principalId": « :ConduitAccess", "arn": "arn:aws:sts::accountid:assumed-role/ConduitAccessClientRole-DO-NOT-DELETE/ConduitAccess", "accountId": « , "accessKeyId »: , "sessionContext": { "attributes": { "mfaAuthenticated": "false", "creationDate": "2014-04-01T09:55:35Z" }, "sessionIssuer": { "type": "Role", "principalId": « ", "arn": "arn:aws:iam::account:role/ConduitAccessClientRole-DO-NOT-DELETE", "accountId": »account", "userName": "ConduitAccessClientRole-DO-NOT-DELETE" } } },
"eventTime": "2014-04-01T09:55:49Z", "eventSource": "iam.amazonaws.com", "eventName": "ListAccessKeys", "awsRegion": "us-east-1", "sourceIPAddress": "72.21.217.64", "userAgent": "aws-sdk-ruby/1.32.0 ruby/1.9.3 x86_64-linux memoizing", "requestParameters": { "userName": "Network" }, "responseElements": null },
CloudTrail Analyzer Beispiel Cloud Trail
CloudTrail in CloudWatch
Zertifikate werden gelebt • • • •
SOC / ISO / PCI AWS unterhält diese Zertifizierungen AWS lässt sich kontinuierlich von dritten Prüfen Die Zertifikate und deren Unterbau sind ggf. Einsehbar • Dies ermöglicht der Aufsichtspflicht nach zu kommen ohne physische Kontrolle haben zu müssen
Zertifikate Zertifikate:
CloudFormation • CloudFormation ist: – JSON beschreibung einer Infrastruktur – Wird dem CF API übergeben – CF arbeitet (ggf. parallel) die Änderungen am Stack ab
• Erzeugt Transparenz – CF-Stacks enthalten den “Ist”-Stand – Änderungen am Stack werden Protokolliert – Alle Änderungen bedürfen entsprechende IAM Rechte
Zusammenfassung • • • •
Detailed Billing -> Übersicht CloudTrail -> Detailiertes Audit Zertifikate -> Transparenz CloudFormation -> IstStand
• Q&A